Подключиться
Yandex Identity and Access Management

Назначение роли

Статья создана

Чтобы предоставить доступ к ресурсу, назначьте субъекту роль на сам ресурс или ресурс, от которого наследуются права доступа, например на каталог или облако. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.

Назначить роль пользователю с аккаунтом на Яндексе

В этом разделе описывается, как назначить роль пользователю с аккаунтом на Яндексе. В примерах ниже описано, как назначить роль сервисному аккаунту, пользователю федерации или всем пользователям сразу.

В консоли управления можно назначить роль только на облако или каталог:

  1. Добавьте пользователя в облако через консоль управления или Yandex Cloud Organization.

  2. Назначьте пользователю роль в облаке:

    1. В консоли управления выберите облако.
    2. Перейдите на вкладку Права доступа.
    3. Нажмите кнопку Назначить роли.
    4. В окне Настройка прав доступа нажмите кнопку Выбрать пользователя.
    5. Выберите пользователя из списка или воспользуйтесь поиском по пользователям.
    6. Нажмите кнопку Добавить роль.
    7. Выберите роль в облаке.
    8. Нажмите кнопку Сохранить.

  3. Назначьте пользователю роль в каталоге:

    1. В консоли управления перейдите в нужный каталог.
    2. Перейдите на вкладку Права доступа.
    3. Нажмите кнопку Назначить роли.
    4. В окне Настройка прав доступа нажмите кнопку Выбрать пользователя.
    5. Выберите пользователя из списка или воспользуйтесь поиском по пользователям.
    6. Нажмите кнопку Добавить роль.
    7. Выберите роль в каталоге.
    8. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

  1. Выберите роль из списка в разделе Роли.

  2. Получите идентификатор пользователя.

  3. Назначьте роль с помощью команды:

    yc <service-name> <resource> add-access-binding <resource-name>|<resource-id> \
    --role <role-id> \
    --subject userAccount:<user-account-id>

    Где:

    • <service-name> — имя сервиса, на чей ресурс назначается роль, например resource-manager.
    • <resource> — категория ресурса, например cloud.
    • <resource-name> — имя ресурса. Вы можете указать ресурс по имени или идентификатору.
    • <resource-id> — идентификатор ресурса.
    • <role-id> — идентификатор роли, например resource-manager.clouds.owner.
    • <user-account-id> — идентификатор аккаунта пользователя, которому назначается роль.

    Например, назначьте роль viewer на облако mycloud:

    yc resource-manager cloud add-access-binding mycloud \
    --role viewer \
    --subject userAccount:aje6o61dvog2h6g9a33s

Воспользуйтесь методом updateAccessBindings для соответствующего ресурса.

  1. Выберите роль из списка в разделе Роли.

  2. Получите идентификатор пользователя.

  3. Сформируйте тело запроса, например в файле body.json. В свойстве action укажите ADD, а в свойстве subject - тип userAccount и идентификатор пользователя:

    body.json:

    {
    "accessBindingDeltas": [{
        "action": "ADD",
        "accessBinding": {
            "roleId": "editor",
            "subject": {
                "id": "gfei8n54hmfhuk5nogse",
                "type": "userAccount"
                }
            }
        }
    ]
}

  4. Назначьте роль, например на каталог с идентификатором b1gvmob95yysaplct532:

    export FOLDER_ID=b1gvmob95yysaplct532
export IAM_TOKEN=CggaATEVAgA...
curl -X POST \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer ${IAM_TOKEN}" \
  -d '@body.json' \
  "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"

Вы можете ознакомиться с подробной инструкцией назначения роли для соответствующего ресурса:

Если у вас ещё нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Добавьте в конфигурационный файл параметры ресурса, укажите нужную роль и перечень пользователей облака:

    • cloud_idидентификатор облака. Вы также можете назначить роль внутри отдельного каталога. Для этого вместо cloud_id укажите folder_id и нужный идентификатор каталога в параметрах ресурса.
    • role — назначаемая роль. Обязательный параметр.
    • members — список пользователей и сервисных аккаунтов, которым назначается роль. Указывается в виде userAccount:<идентификатор пользователя> или serviceAccount:<идентификатор сервисного аккаунта>. Обязательный параметр.

    Пример структуры конфигурационного файла:

    resource "yandex_resourcemanager_cloud_iam_binding" "admin" {
    cloud_id    = "<идентификатор облака>"
    role        = "<роль>"
    members     = [
    "serviceAccount:<идентификатор сервисного аккаунта>",
    "userAccount:<идентификатор пользователя>",
    ]
}

    Более подробную информацию о параметрах ресурса yandex_resourcemanager_cloud_iam_binding см. в документации провайдера.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

    После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления или с помощью команды CLI:

    yc resource-manager folder list-access-bindings <имя каталога>|<идентификатор каталога>

Назначить несколько ролей

  1. В консоли управления перейдите в нужный каталог.
  2. Перейдите на вкладку Права доступа.
  3. Нажмите кнопку Назначить роли.
  4. В окне Настройка прав доступа нажмите кнопку Выбрать пользователя.
  5. Выберите пользователя из списка или воспользуйтесь поиском по пользователям.
  6. Нажмите кнопку Добавить роль.
  7. Выберите роль в каталоге.
  8. Добавьте еще роль через кнопку Добавить роль.
  9. Нажмите кнопку Сохранить.

Команда add-access-binding позволяет добавить только одну роль. Вы можете назначить несколько ролей с помощью команды set-access-binding.

Внимание

Команда set-access-binding полностью перезаписывает права доступа к ресурсу! Все текущие роли на ресурс будут удалены.

Например, чтобы назначить несколько ролей на каталог:

  1. Убедитесь, что на ресурс не назначено ролей, которые вы не хотите потерять:

    yc resource-manager folder list-access-binding my-folder

  2. Назначьте роли. Например, назначьте одному пользователю роль editor, а другому viewer:

    yc resource-manager folder set-access-bindings my-folder \
    --access-binding role=editor,subject=userAccount:gfei8n54hmfhuk5nogse
    --access-binding role=viewer,subject=userAccount:helj89sfj80aj24nugsz

  1. Чтобы назначить одному пользователю роль editor, а другому viewer, в файл с телом запроса добавьте несколько привязок прав доступа в accessBindingDeltas.

    body.json:

    {
    "accessBindingDeltas": [{
        "action": "ADD",
        "accessBinding": {
            "roleId": "editor",
            "subject": {
                "id": "gfei8n54hmfhuk5nogse",
                "type": "userAccount"
            }
        }
    },{
        "action": "ADD",
        "accessBinding": {
            "roleId": "viewer",
            "subject": {
                "id": "helj89sfj80aj24nugsz",
                "type": "userAccount"
            }
        }
    }]
}

  2. Назначьте указанные роли, например на каталог с идентификатором b1gvmob95yysaplct532:

    export FOLDER_ID=b1gvmob95yysaplct532
export IAM_TOKEN=CggaATEVAgA...
curl -X POST \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer ${IAM_TOKEN}" \
  -d '@body.json' \
  "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"

Вы также можете назначать роли с помощью метода setAccessBindings.

Внимание

Метод setAccessBindings полностью перезаписывает права доступа к ресурсу! Все текущие роли на ресурс будут удалены.

  1. В теле запроса укажите список новых привязок прав доступа.

    body.json:

    {
    "accessBindings": [{
        "roleId": "editor",
        "subject": { "id": "ajei8n54hmfhuk5nog0g", "type": "userAccount" }
    },{
        "roleId": "viewer",
        "subject": { "id": "helj89sfj80aj24nugsz", "type": "userAccount" }
    }]
}

  2. Назначьте роли:

    export FOLDER_ID=b1gvmob95yysaplct532
export IAM_TOKEN=CggaATEVAgA...
curl -X POST \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer ${IAM_TOKEN}" \
    -d '@body.json' \
    "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:setAccessBindings"

Доступ к ресурсу для сервисного аккаунта

Сервисному аккаунту можно назначать роли только на ресурсы облака, которому принадлежит каталог сервисного аккаунта.

Через консоль управления сервисному аккаунту можно назначить роль только на каталоги, которые находятся в одном облаке с каталогом сервисного аккаунта, и на это облако. Чтобы назначить ему роль на другой ресурс, используйте CLI или API.

Роли сервисному аккаунту назначаются так же, как пользовательскому аккаунту.

Чтобы назначить сервисному аккаунту роль на каталог:

  1. В консоли управления перейдите в нужный каталог.
  2. Перейдите на вкладку Права доступа.
  3. Нажмите кнопку Назначить роли.
  4. В окне Настройка прав доступа нажмите кнопку Выбрать пользователя.
  5. Перейдите на вкладку Сервисные аккаунты.
  6. Выберите сервисный аккаунт из списка или воспользуйтесь поиском.
  7. Нажмите кнопку Добавить роль.
  8. Выберите роль в каталоге.
  9. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Чтобы назначить сервисному аккаунту роль на ресурс, выполните команду:

yc <service-name> <resource> add-access-binding <resource-name>|<resource-id> \
  --role <role-id> \
  --subject serviceAccount:<service-account-id>

Где:

  • <service-name> — имя сервиса, на чей ресурс назначается роль, например resource-manager.
  • <resource> — категория ресурса, например cloud.
  • <resource-name> — имя ресурса. Вы можете указать ресурс по имени или идентификатору.
  • <resource-id> — идентификатор ресурса.
  • <role-id> — идентификатор роли, например resource-manager.clouds.owner.
  • <service-account-id> — идентификатор сервисного аккаунта, которому назначается роль.

Например, чтобы назначить сервисному аккаунту роль viewer на каталог my-folder:

  1. Узнайте идентификатор сервисного аккаунта по его имени:

    yc iam service-account get my-robot

    Результат:

    id: aje6o61dvog2h6g9a33s
folder_id: b1gvmob95yysaplct532
created_at: "2018-10-15T18:01:25Z"
name: my-robot

    Если вы не знаете имя сервисного аккаунта, получите список сервисных аккаунтов с их идентификаторами:

    yc iam service-account list

    Результат:

    +----------------------+------------------+-----------------+
|          ID          |       NAME       |   DESCRIPTION   |
+----------------------+------------------+-----------------+
| aje6o61dvog2h6g9a33s | my-robot         | my description  |
+----------------------+------------------+-----------------+

  2. Назначьте роль сервисному аккаунту my-robot, используя его идентификатор:

    yc resource-manager folder add-access-binding my-folder \
  --role viewer \
  --subject serviceAccount:aje6o61dvog2h6g9a33s

  1. Узнайте ID каталога с сервисными аккаунтами.

  2. Получите список сервисных аккаунтов в каталоге, чтобы узнать их идентификаторы:

    export FOLDER_ID=b1gvmob95yysaplct532
export IAM_TOKEN=CggaATEVAgA...
curl -H "Authorization: Bearer ${IAM_TOKEN}" \
  "https://iam.api.cloud.yandex.net/iam/v1/serviceAccounts?folderId=${FOLDER_ID}"

    Результат:

    {
 "serviceAccounts": [
  {
   "id": "ajebqtreob2dpblin8pe",
   "folderId": "b1gvmob95yysaplct532",
   "createdAt": "2018-10-18T13:42:40Z",
   "name": "my-robot",
   "description": "my description"
  }
 ]
}

  3. Сформируйте тело запроса, например в файле body.json. В свойстве action укажите ADD, а в свойстве subject - тип serviceAccount и ID сервисного аккаунта:

    body.json:

    {
    "accessBindingDeltas": [{
        "action": "ADD",
        "accessBinding": {
            "roleId": "editor",
            "subject": {
                "id": "ajebqtreob2dpblin8pe",
                "type": "serviceAccount"
                }
            }
        }
    ]
}

  4. Назначьте роль, например на каталог с идентификатором b1gvmob95yysaplct532:

    export FOLDER_ID=b1gvmob95yysaplct532
export IAM_TOKEN=CggaATEVAgA...
curl -X POST \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer ${IAM_TOKEN}" \
  -d '@body.json' \
  "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"

Если у вас ещё нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:

    • folder_idидентификатор каталога. Обязательный параметр.
    • role — назначаемая роль. Обязательный параметр.
    • members — список пользователей и сервисных аккаунтов, которым назначается роль. Указывается в виде userAccount:<идентификатор пользователя> или serviceAccount:<идентификатор сервисного аккаунта>. Обязательный параметр.

    Пример структуры конфигурационного файла:

    resource "yandex_resourcemanager_folder_iam_binding" "admin-account-iam" {
  folder_id   = "<идентификатор каталога>"
  role        = "<роль>"
  members     = [
    "serviceAccount:<идентификатор сервисного аккаунта>",
  ]
}

    Более подробную информацию о параметрах ресурса yandex_resourcemanager_folder_iam_binding см. в документации провайдера.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

    После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить создание ресурса можно в консоли управления или с помощью команды CLI:

    yc resource-manager folder list-access-bindings <имя каталога>|<идентификатор каталога>

Доступ к ресурсу для федеративного пользователя

В консоли управления федеративному пользователю можно назначить роль на отдельное облако или каталог.

Назначение роли происходит так же, как назначение роли пользователю с аккаунтом на Яндексе. Рядом с именем пользователя будет указано имя федерации, к которой он относится.

В консоли управления можно назначить роль только на облако или каталог:

  1. Назначьте пользователю роль в облаке:

    1. В консоли управления выберите облако.
    2. Перейдите на вкладку Права доступа.
    3. Нажмите кнопку Назначить роли.
    4. В окне Настройка прав доступа нажмите кнопку Выбрать пользователя.
    5. Выберите пользователя из списка или воспользуйтесь поиском по пользователям.
    6. Нажмите кнопку Добавить роль.
    7. Выберите роль в облаке.
    8. Нажмите кнопку Сохранить.

  2. Назначьте пользователю роль в каталоге:

    1. В консоли управления перейдите в нужный каталог.
    2. Перейдите на вкладку Права доступа.
    3. Нажмите кнопку Назначить роли.
    4. В окне Настройка прав доступа нажмите кнопку Выбрать пользователя.
    5. Выберите пользователя из списка или воспользуйтесь поиском по пользователям.
    6. Нажмите кнопку Добавить роль.
    7. Выберите роль в каталоге.
    8. Нажмите кнопку Сохранить.

  1. Выберите роль из списка в разделе Роли.

  2. Получите идентификатор пользователя.

  3. Назначьте роль с помощью команды:

    yc <service-name> <resource> add-access-binding <resource-name>|<resource-id> \
    --role <role-id> \
    --subject federatedUser:<federated-user-id>

    Где:

    • <service-name> — имя сервиса, на чей ресурс назначается роль, например resource-manager.
    • <resource> — категория ресурса, например cloud.
    • <resource-name> — имя ресурса. Вы можете указать ресурс по имени или идентификатору.
    • <resource-id> — идентификатор ресурса.
    • <role-id> — идентификатор роли, например resource-manager.clouds.owner.
    • <federated-user-id> — идентификатор аккаунта пользователя, которому назначается роль.

    Например, назначьте роль viewer на облако mycloud:

    yc resource-manager cloud add-access-binding mycloud \
    --role viewer \
    --subject federatedUser:aje6o61dvog2h6g9a33s

Воспользуйтесь методом updateAccessBindings для соответствующего ресурса.

  1. Выберите роль из списка в разделе Роли.

  2. Получите идентификатор пользователя.

  3. Сформируйте тело запроса, например в файле body.json. В свойстве action укажите ADD, а в свойстве subject - тип federatedUser и идентификатор пользователя:

    body.json:

    {
    "accessBindingDeltas": [{
        "action": "ADD",
        "accessBinding": {
            "roleId": "editor",
            "subject": {
                "id": "gfei8n54hmfhuk5nogse",
                "type": "federatedUser"
                }
            }
        }
    ]
}

  4. Назначьте роль, например на каталог с идентификатором b1gvmob95yysaplct532:

    export FOLDER_ID=b1gvmob95yysaplct532
export IAM_TOKEN=CggaATEVAgA...
curl -X POST \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer ${IAM_TOKEN}" \
  -d '@body.json' \
  "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"

Доступ к ресурсу для группы пользователей

Назначьте роль в облаке для группы пользователей:

  1. В консоли управления выберите облако.
  2. Перейдите на вкладку Права доступа.
  3. Нажмите кнопку Назначить роли.
  4. В окне Настройка прав доступа нажмите кнопку Выбрать пользователя:
    1. Перейдите на вкладку Группы или воспользуйтесь поиском, чтобы найти группу по названию.
    2. Нажмите кнопку Добавить роль.
    3. Выберите роль в облаке.
    4. Нажмите кнопку Сохранить.

Название группы отобразится в разделе Права доступа облака вместе с остальными пользователями, у которых есть роли в этом облаке.

  1. Выберите роль из списка в разделе Роли.

  2. Получите идентификатор пользователя.

  3. Назначьте роль с помощью команды:

    yc <service-name> <resource> add-access-binding <resource-name>|<resource-id> \
    --role <role-id> \
    --subject group:<group-id>

    Где:

    • <service-name> — имя сервиса, на чей ресурс назначается роль, например resource-manager.
    • <resource> — категория ресурса, например cloud.
    • <resource-name> — имя ресурса. Вы можете указать ресурс по имени или идентификатору.
    • <resource-id> — идентификатор ресурса.
    • <role-id> — идентификатор роли, например resource-manager.clouds.owner.
    • <group-id> — идентификатор группы, которой назначается роль.

    Например, назначьте роль viewer на облако mycloud:

    yc resource-manager cloud add-access-binding mycloud \
    --role viewer \
    --subject group:aje6o61dvog2h6g9a33s

Доступ к ресурсу всем пользователям

Вы можете предоставить публичный доступ к ресурсу. Для этого назначьте роль системной группе allAuthenticatedUsers или allUsers.

Системной группе можно назначить любые роли, кроме resource-manager.clouds.owner и resource-manager.clouds.member.

Внимание

Не назначайте системной группе роли editor и admin на каталог или облако. Это позволит любому, кто узнает идентификатор каталога, пользоваться ресурсами Yandex Cloud за ваш счет.

Например, разрешите любому прошедшему аутентификацию пользователю просматривать информацию о каталоге:

  1. В консоли управления перейдите в нужный каталог.
  2. Перейдите на вкладку Права доступа.
  3. Нажмите кнопку Назначить роли.
  4. В окне Настройка прав доступа нажмите кнопку Выбрать пользователя.
  5. Выберите раздел Группы.
  6. Выберите группу All authenticated users.
  7. Нажмите кнопку Добавить роль.
  8. Выберите роль resource-manager.viewer.
  9. Нажмите Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

Назначьте роль viewer на каталог my-folder. В качестве субъекта укажите тип system и идентификатор allAuthenticatedUsers:

yc resource-manager folder add-access-binding my-folder \
  --role viewer \
  --subject system:allAuthenticatedUsers

  1. Сформируйте тело запроса, например в файле body.json. В roleId назначьте роль viewer. В свойстве subject укажите тип system и идентификатор allAuthenticatedUsers:

    body.json:

    {
"accessBindingDeltas": [{
    "action": "ADD",
    "accessBinding": {
        "roleId": "viewer",
        "subject": {
            "id": "allAuthenticatedUsers",
            "type": "system"
            }
        }
    }]
}

  2. Назначьте роль, например на каталог с идентификатором b1gvmob95yysaplct532:

    export FOLDER_ID=b1gvmob95yysaplct532
export IAM_TOKEN=CggaATEVAgA...
curl -X POST \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer ${IAM_TOKEN}" \
  -d '@body.json' \
  "https://resource-manager.api.cloud.yandex.net/resource-manager/v1/folders/${FOLDER_ID}:updateAccessBindings"

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

Внимание

Не создавайте ресурс совместно с ресурсом yandex_resourcemanager_folder_iam_policy. Они будут конфликтовать.

Чтобы назначить роль на каталог, созданный с помощью Terraform:

  1. Опишите в конфигурационном файле параметры роли каталога:

    • folder_idидентификатор каталога, на который назначаются права. Обязательный параметр.

    • role — назначаемая роль. Обязательный параметр.

      Примечание

      Для каждой роли можно использовать только один ресурс yandex_resourcemanager_folder_iam_binding.

    • members — список пользователей, которым будет присвоена роль. Чтобы добавить всех пользователей, создайте запись в формате system:<allUsers|allAuthenticatedUsers>, где <allUsers|allAuthenticatedUsers> — одна из системных групп. Обязательный параметр.

    Пример структуры конфигурационного файла:

    ...
data "yandex_resourcemanager_folder" "project1" {
  folder_id = "<идентификатор каталога>"
}

resource "yandex_resourcemanager_folder_iam_binding" "viewer" {
  folder_id = "${data.yandex_resourcemanager_folder_iam_member.project1.id}"

  role = "viewer"

members = [
  "system:allUsers",
]
}
...

    Более подробную информацию о параметрах ресурса yandex_resourcemanager_folder_iam_binding в Terraform см. в документации провайдера.

  2. Проверьте конфигурацию командой:

    terraform validate

    Если конфигурация является корректной, появится сообщение:

    Success! The configuration is valid.

  3. Выполните команду:

    terraform plan

    В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

  4. Примените изменения конфигурации:

    terraform apply

  5. Подтвердите изменения: введите в терминал слово yes и нажмите Enter.

    Проверить изменение каталога можно в консоли управления или с помощью команды CLI:

    yc resource-manager folder list-access-bindings <имя каталога>|<ID каталога>
В этой статье: